ข้อบกพร่องของปลั๊กอิน LinkedIn AutoFill ทำให้แฮกเกอร์สามารถรั่วไหลข้อมูลส่วนบุคคลได้

ปลั๊กอิน LinkedIn ป้อนอัตโนมัติอาจเปิดเผยข้อมูลโปรไฟล์ผู้ใช้ต่อแฮกเกอร์

เรื่องอื้อฉาวความปลอดภัยของข้อมูลของ Facebook^[1] ข้อบกพร่องการป้อนอัตโนมัติของ LinkedIn กำลังถูกปกปิดโดยข้อบกพร่องการป้อนอัตโนมัติของ LinkedIn ซึ่งอาจเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้ไปยังเว็บไซต์บุคคลที่สาม

LinkedIn ซึ่งเป็นเครือข่ายโซเชียลจากมืออาชีพที่เป็นของ Microsoft ตั้งแต่ปี 2559 ได้รับการพิจารณา เป็นหนึ่งในเครือข่ายสังคมออนไลน์ที่เป็นมืออาชีพมากที่สุดบนเว็บที่ไม่ขาดหายไปจากเดิม วัตถุประสงค์. อย่างไรก็ตาม ไม่สามารถหลีกเลี่ยงเรื่องอื้อฉาวของการละเมิดข้อมูลได้ เมื่อวันที่ 9 เมษายน 2018 นักวิจัย Jack Cable เปิดเผย^[2] ข้อบกพร่องร้ายแรงในปลั๊กอินป้อนอัตโนมัติของ LinkedIn

ข้อบกพร่องนี้เรียกว่า cross-site scripting (XSS) ซึ่งอาจเปิดเผยข้อมูลพื้นฐานจากโพรไฟล์ของสมาชิก LinkedIn เช่น ชื่อนามสกุล ที่อยู่อีเมล ที่ตั้ง ตำแหน่งที่ถือ ฯลฯ ให้กับบุคคลที่ไม่น่าไว้วางใจ เว็บไซต์บุคคลที่สามที่ได้รับการอนุมัติซึ่งรวมอยู่ในรายการที่อนุญาตพิเศษของ LinkedIn สามารถแสดง "ป้อนอัตโนมัติด้วย LinkedIn" ล่องหน ทำให้สมาชิก LinkedIn กรอกรายละเอียดโดยอัตโนมัติจากโปรไฟล์โดยคลิกที่ใดก็ได้บนสแปม เว็บไซต์.

ข้อบกพร่องของ Cross-Site Scripting ทำให้แฮกเกอร์สามารถแก้ไขมุมมองของเว็บไซต์ได้

การเขียนสคริปต์ข้ามไซต์หรือ XSS^[3] เป็นช่องโหว่ที่แพร่หลายซึ่งอาจส่งผลต่อแอปใดๆ บนเว็บ ช่องโหว่นี้ถูกใช้โดยแฮกเกอร์ในลักษณะที่พวกเขาสามารถแทรกเนื้อหาลงในเว็บไซต์และปรับเปลี่ยนมุมมองการแสดงผลปัจจุบันได้อย่างง่ายดาย

ในกรณีที่มีข้อบกพร่องของ LinkedIn แฮกเกอร์สามารถใช้ประโยชน์จากปลั๊กอินป้อนอัตโนมัติที่ใช้กันอย่างแพร่หลาย หลังช่วยให้ผู้ใช้กรอกแบบฟอร์มได้อย่างรวดเร็ว LinkedIn มีโดเมนที่อนุญาตพิเศษเพื่อใช้ฟังก์ชันนี้ (มากกว่า 10,000 รวมอยู่ใน 10,000. อันดับแรก เว็บไซต์จัดอันดับโดย Alexa) ทำให้บุคคลที่สามที่ได้รับอนุมัติสามารถกรอกข้อมูลพื้นฐานจาก .ของพวกเขาเท่านั้น ข้อมูลส่วนตัว.

อย่างไรก็ตาม ข้อบกพร่อง XSS ช่วยให้แฮกเกอร์สามารถแสดงปลั๊กอินบนเว็บไซต์ทั้งหมดได้ “ป้อนอัตโนมัติด้วย LinkedIn” ปุ่ม^[4] ล่องหน. ดังนั้น หากชาวเน็ตที่เชื่อมต่อกับ LinkedIn เปิดเว็บไซต์ที่ได้รับผลกระทบจากข้อบกพร่อง XSS ให้คลิกที่ ว่างเปล่าหรือเนื้อหาใด ๆ ที่วางอยู่บนโดเมนดังกล่าวโดยไม่ได้ตั้งใจเปิดเผยข้อมูลส่วนบุคคลราวกับว่าคลิก บน “ป้อนอัตโนมัติด้วย LinkedIn" ปุ่ม.

เป็นผลให้เจ้าของเว็บไซต์สามารถเรียกชื่อเต็ม, หมายเลขโทรศัพท์, สถานที่, ที่อยู่อีเมล, รหัสไปรษณีย์, บริษัท, ตำแหน่งที่ดำรงตำแหน่ง, ประสบการณ์ ฯลฯ โดยไม่ต้องขออนุญาตผู้มาเยือน ตามที่ Jack Cable อธิบาย

เนื่องจากปุ่มป้อนอัตโนมัติอาจทำให้มองไม่เห็นและขยายไปทั่วทั้งหน้า ทำให้ผู้ใช้คลิกที่ใดก็ได้เพื่อส่งข้อมูลของผู้ใช้ไปยังเว็บไซต์

แพทช์สำหรับข้อบกพร่องในการป้อนอัตโนมัติออกให้แล้วในวันที่ 10 เมษายน

ในการก่อตั้ง Jack Cable นักวิจัยที่พบข้อบกพร่องได้ติดต่อ LinkedIn และรายงานช่องโหว่ XSS เพื่อเป็นการตอบโต้ บริษัทได้ออกแพตช์เมื่อวันที่ 10 เมษายน และจำกัดเว็บไซต์ที่ได้รับอนุมัติจำนวนเล็กน้อย

อย่างไรก็ตาม ช่องโหว่ในการป้อนข้อความอัตโนมัติของ LinkedIn ยังไม่ได้รับการแก้ไขให้สำเร็จ หลังจากการวิเคราะห์ในเชิงลึก Cable รายงานว่าโดเมนที่อนุญาตพิเศษอย่างน้อยหนึ่งโดเมนยังคงเสี่ยงต่อการถูกโจมตีโดยปล่อยให้อาชญากรใช้ปุ่มป้อนอัตโนมัติในทางที่ผิด

LinkedIn ได้รับแจ้งเกี่ยวกับช่องโหว่ที่ไม่ได้รับการแก้ไขแล้ว แม้ว่าบริษัทจะไม่ตอบสนองก็ตาม ดังนั้นผู้วิจัยจึงเผยแพร่ช่องโหว่ดังกล่าวสู่สาธารณะ เมื่อเปิดเผย พนักงานของ LinkedIn ก็รีบปล่อยแพตช์ซ้ำ ๆ :^[5]

เราป้องกันการใช้คุณลักษณะนี้โดยไม่ได้รับอนุญาตทันที เมื่อเราทราบปัญหาแล้ว แม้ว่าเราจะไม่พบร่องรอยของการละเมิด แต่เรายังคงทำงานอย่างต่อเนื่องเพื่อให้แน่ใจว่าข้อมูลของสมาชิกของเราได้รับการปกป้อง เราขอขอบคุณผู้วิจัยที่รับผิดชอบการรายงานเรื่องนี้ และทีมรักษาความปลอดภัยของเราจะติดต่อกลับไปหาพวกเขาต่อไป